Header Monthly Email Threat Review

Email Threat Review October 2021

Written by Security Lab / 16.11.2021 /
Home » Blog » Email Threat Review October 2021

Résumé exécutif

Ce mois-ci, nous avons assisté à la poursuite de l’attaque d‘hameçonnage à grande échelle contre les banques allemandes qui a débuté à la fin du mois dernier.

Sommaire

Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en octobre 2021 et les comparons aux menaces du mois précédent.

Le rapport fournit des informations sur :

Courriels indésirables par catégorie

Le tableau suivant montre la répartition des courriels indésirables par catégorie.

Catégorie de courriel%
Rejeté80.92
Pourriel13.50
Menace4.68
AdvThreat0.86
Contenu0.03

L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.

La forte augmentation des e-mails indésirables, vers le 2021-10-26, peut être attribuée à une campagne d’escroquerie sextorsion récurrente mensuellement.

Méthodologie

Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :

CatégorieDescription
PourrielCes courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires.
ContenuCes courriels contiennent une pièce jointe non autorisée. Les administrateurs définissent dans le module de contrôle de contenu (Content Control) les types de pièces jointes qui ne sont pasautorisées.
MenaceCes courriels contiennent du contenu nuisible, comme des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des actes délictuels comme l’hameçonnage.
AdvThreatLa solution de protection avancée contre les menaces (Advanced Threat Protection) a détecté une menace dans ces courriels. Les courriels sont utilisés à des fins illégales et nécessitent des moyens techniques sophistiqués qui ne peuvent être contournés qu’en utilisant des procédures dynamiques avancées.
RejetéNotre serveur de courriel rejette ces courriels directement pendant le dialogue SMTP en raison de caractéristiques externes, comme l’identité de l’expéditeur, et les courriels ne sont pas analysés en profondeur.

Types de fichiers utilisés dans les attaques

Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.

Type de fichier (utilisé dans les courriels malveillants)%
HTML37.3
Archive25.8
PDF13.1
Excel7.0
Fichiers d’images de disque5.2
Autres4.2
Exécutable3.4
Word3.3
Powerpoint0.4
Fichier script0.1

Les autres types de fichiers non répertoriés individuellement sont les fichiers de courrier électronique (transférés en tant que pièces jointes .eml), les fichiers de raccourcis de bureau Windows (.lnk), les fichiers de raccourcis Internet (.url), les fichiers d’archive Java (.jar), les fichiers iCalendar (.ics), les fichiers vCard (.vcf), les formats de fichiers de livres électroniques (.epub, .mobi) et bien d’autres formats de fichiers encore plus exotiques. Ceux-ci sont regroupés sous « Autres ».

L’histogramme temporel suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur 7 jours.

Indice des menaces par courriel de l’industrie

Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).

IndustriesPart des menaces dans les courriels de menace et légitimes
Éducation5.6
Santé5.6
Fabrication5.5
Recherche5.4
Automobile4.8
Media4.7
Construction4.6
Services publics4.4
Mines et carrières4.1
Transport4.0

Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.

Méthodologie

Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.

Marques et organisations usurpées

Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.

Marque ou organisation usurpée%
Sparkasse47.4
Volks- und Raiffeisenbank17.7
Other6.9
Deutsche Post / DHL5.8
Amazon5.4
DocuSign4.4
PayPal2.4
UPS2.1
LinkedIn1.5
Fedex1.5

L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.

On voit ici l’usurpation d’identité continue de deux associations bancaires allemandes pour propager le phishing.

Ransomleaks

Les cybercriminels continuent de divulguer des données volées aux victimes de rançongiciels pour les forcer à payer pour déchiffrer les fichiers et ne pas publier de données sensibles. Une pratique qu’on appelle le ransomleak. Notre surveillance automatisée a observé le nombre de fuites suivant sur les sites de fuite de ransomware (non protégés par CAPTCHAS) :

Site de fuitesNombre de victime de fuites
Conti65
Blackmatter44
Pysa27
Hive8
Cuba7
LV6
REvil4
Vice Society4
Everest3
Atomsilo2
Bonaci2
Xing Team2
RansomEXX1

Le graphique à barres suivant visualise le nombre de fuites de données sur les victimes par site de fuite.

Nous ajoutons les sites de fuite de ransomware suivants à notre surveillance :

  • Atomsilo
  • Blackmatter
  • Bonaci

Le 04/10/21, Europol a annoncé deux arrestations et sept perquisitions immobilières en Ukraine en relation avec un gang de rançongiciels. Europol n’a pas nommé le gang de rançongiciels.1

Le 2021-10-26, Europol a annoncé une action contre 12 criminels impliqués dans les rançongiciels LockerGoga, MegaCortex et Dharma, entre autres.2

Le 29 octobre 2021, le ministère américain de la Justice a annoncé l’extradition d’un ressortissant russe de Corée du Sud vers les États-Unis pour son rôle présumé dans le développement et le déploiement du maliciel Trickbot.3

References